Cisco alerta sobre bug que permite que atacantes quebrem a criptografia do tráfego
6 de Julho de 2023

A Cisco alertou os clientes hoje sobre uma vulnerabilidade de alta gravidade que afeta alguns modelos de switches de centro de dados e permite que invasores alterem o tráfego criptografado.

Identificado como CVE-2023-20185 , o defeito foi encontrado durante testes internos de segurança no recurso de criptografia CloudSec Multi-Site ACI dos switches de tecido da série Nexus 9000 do centro de dados da Cisco.

A vulnerabilidade afeta apenas os Cisco Nexus 9332C, 9364C e 9500 switches (os últimos equipados com um cartão de linha Cisco Nexus N9K-X9736C-FX) apenas se estiverem no modo ACI, fizerem parte de uma topologia Multi-Site, tiverem o recurso de criptografia CloudSec habilitado e estiverem executando firmware 14.0 e versões posteriores.

A exploração bem-sucedida permite que invasores não autenticados leiam ou modifiquem o tráfego criptografado entre sites trocado remotamente.

"Essa vulnerabilidade ocorre devido a um problema na implementação dos cifradores usados pelo recurso de criptografia CloudSec nos switches afetados", disse a Cisco.

"Um invasor com uma posição no caminho entre os sites ACI poderia explorar essa vulnerabilidade interceptando o tráfego criptografado entre sites e usando técnicas criptoanalíticas para quebrar a criptografia."

A Cisco ainda não emitiu atualizações de software para resolver a vulnerabilidade CVE-2023-20185 .

Os clientes que utilizam switches de centro de dados afetados são aconselhados a desativar o recurso vulnerável e buscar orientação de sua organização de suporte para explorar soluções alternativas.

Para descobrir se a criptografia CloudSec está sendo usada em um site ACI, vá para Infraestrutura > Conectividade do Site > Configurar > Sites > nome-do-site > Conectividade entre Sites no Cisco Nexus Dashboard Orchestrator (NDO) e verifique se "Criptografia CloudSec" está marcada como "Habilitada".

Para verificar se a criptografia CloudSec está habilitada em um switch da série Cisco Nexus 9000, execute o comando show cloudsec sa interface all via linha de comando do switch.

Se retornar 'Status Operacional' para qualquer interface, a criptografia CloudSec está ativada.

A equipe de Resposta a Incidentes de Segurança de Produtos (PSIRT) da empresa ainda não encontrou evidências de código de exploração pública direcionado à falha ou de que a vulnerabilidade tenha sido explorada em ataques.

Em maio, a empresa também corrigiu quatro falhas críticas de execução remota de código com código de exploração pública que afetam vários switches da série Small Business.

A Cisco também está trabalhando na correção de uma falha de script entre sites (XSS) na ferramenta de gerenciamento do servidor Prime Collaboration Deployment (PCD), relatada por Pierre Vivegnis do Centro de Segurança Cibernética da OTAN (NCSC).

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...